Elektroničko praćenje aktivnosti zaposlenika – smjernice EU

Zamke radnog mjesta

Zbog povrede prava na zaštitu privatnosti zajamčene članom 8. europske konvencije o ljudskim pravima, Europski sud za ljudska prava donio je brojne presude protiv država potpisnica. U tim presudama Sud navodi da se: „koncept privatnog života proteže na sve aspekte osobnog identiteta, kao što su ime ili slika neke osobe”. Konvencija dobiva sve veću važnost s obzirom na nagli razvoj tehnologije koja omogućuje nedozvoljeni nadzor privatnog i javnog života svakog pojedinca.

PIŠE Haris Hamidović

Zaštita privatnosti, jedno od osnovnih ljudskih prava, nužna je za pravilno funkcioniranje svakog demokratskog društva. Osnovni standardi zaštite privatnosti već su definirani u Univerzalnoj deklaraciji o ljudskim pravima UN-a te Konvencijom o zaštiti ljudskih prava i osnovnih sloboda Vijeća Europe.

“Nitko ne smije biti izložen proizvoljnom miješanju u privatni život, obitelj, stan ili dopisivanje ni napadima na čast i ugled. Svatko ima pravo na zakonsku zaštitu protiv takvog miješanja ili napada.” - navodi se u Općoj deklaraciji UN-a o pravima čovjeka.

Konvencija za zaštitu ljudskih prava i temeljnih sloboda Vijeća Europe u Članu 8. također ističe da:

1. Svatko ima pravo na poštovanje svog privatnog i obiteljskog života, doma i dopisivanja.

2. Javna vlast se neće miješati u ostvarivanje tog prava, osim u skladu sa zakonom ako je to u demokratskom društvu nužno zbog interesa državne sigurnosti, javnog reda i mira, gospodarske dobrobiti zemlje te radi sprečavanja nereda ili zločina, zaštite zdravlja, morala ili zaštite prava i sloboda drugih.

Načelo nužnosti utvrđuje da poslodavac može čuvati podatke samo koliko je potrebno za određenu svrhu praćenja aktivnosti

Zaposlenici također legitimno očekuju određeni stupanj privatnosti na radnom mjestu. Međutim, to pravo mora biti uravnoteženo s drugim legitimnim pravima i interesima poslodavca, posebice s njegovim pravom na odgovarajuće učinkovito vođenje poslovanja iznad svega da se zaštiti od odgovornosti ili štete koju mogu napraviti zaposlenici tijekom rada. Ta prava i interesi predstavljaju legitimne osnove koje bi mogle opravdati odgovarajuće mjere ograničavanja prava radnika na privatnost.

Međutim, prikupljanje osobnih podataka i drugih informacija putem elektroničkog nadzora zaposlenika omo­gućuje poslodavcima profesionalno, intelektualno ili čak psihološko kreiranje profila virtualnog zaposlenika, što je često izvan legitimne potrebe poslodavca. Kako bi se elektroničko praćenje aktivnosti zaposlenika moglo dozvoliti i opravdati nužno je, među ostalim, pridržavati se osnovnih načela zakonite obrade osobnih podataka izvedenih iz Direktive 95/46/EC Europskoga parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom prijenosu takvih podataka, kao i nacionalnih zakona o zaštiti osobnih podataka.

Praćenje uposlenika na radnom mjestu

Trenutno ne postoji EU direktiva koja se izravno odnosi na elektroničko praće­nje zaposlenika na radnom mjestu. Radna skupina, uspostavljena na temelju člana 29 Direktive 95/46/EC, izdala je 2002. godine radni dokument o nadzoru elektroničkih komunikacija na radnom mjestu. Polazna točka za razmatranje u tom dokumentu bilo je mišljenje EU Opinion 8/2001 da se Direktiva 95/46/EC odnosi na obradu osobnih podataka u kontekstu radnih odnosa, kao i u bilo kojem drugom kontekstu. U radnom dokumentu 5401/01/EN/Final WP 55 navodi se da je poslodavčevo praćenje elektroničkih komunikacija svojih zaposlenika, uključujući e-poštu i pristup Internetu, moguće također promatrati u kontekstu Direktive 95/46/EC i 97/66/EC.

Postoje mnogi oblici nadzora zaposlenika na radnom mjestu. Spomenuti radni dokument odnosi se na dva oblika praćenja na koje se primjenjuju slična načela - praćenje elektroničke pošte i nadzor pristupa Internetu.

Osnovna načela

Evo koja osnovna načela izvedena iz Direktive 95/46/EC treba slijediti kako bi se elektroničko praćenje aktivnosti zaposlenika moglo smatrati dozvoljenim i opravdanim.

Načelo nužnosti
Načelo nužnosti znači da poslodavac mora provjeriti da li je bilo koji oblik elektroničkog praćenja apsolutno nužan za navedenu svrhu prije negoli nastavi pratiti te zaposlenikove aktivnosti. Tradicionalne metode nadzora, manje intruzivne za privatnost pojedinaca, treba pažljivo razmotriti i po potrebi provesti ih prije bilo kojeg oblika nadzora elektroničkih komunikacija. U pravilu, elektroničku poštu zaposlenika i njegov pristup Internetu treba nadzirati samo u iznimnim okolnostima. E-poštu treba pratiti samo zbog potvrde ili dokaza njegovih kriminalnih aktivnosti, ako je to nužno za obranu poslodavčevih interesa u slučajevima kad je poslodavac posredno odgovoran za aktivnosti radnika. To uključuje i otkrivanje virusa kao i ostale aktivnosti koje provodi poslodavac kako bi zajamčio sigurnost sustava.

Nekad je otvaranje elektroničke pošte zaposlenika potrebno i iz drugih razloga. Naprimjer, kako bi se održala poslovna korespondencija u slučaju da zaposlenik nije u uredu zbog bolesti ili odmora, a korespodencija ne može biti zajamčena drukčije (npr. putem automatskog odgovora ili automatskim prosljeđivanjem). Načelo nužnosti također znači da poslodavac treba čuvati podatke samo koliko je potrebno za navedenu svrhu praćenja aktivnosti.

Načelo konačnosti
Načelo konačnosti znači da podaci moraju biti prikupljeni za određenu, izričitu i legitimnu svrhu, te da neće biti dalje obrađivani na način nespojiv s tom svrhom. U tom kontekstu, naprimjer, načelo sukladnosti znači - ako je obrada podataka opravdana na temelju zaštite sigurnosti sustava ti podaci ne mogu biti obrađivani u druge svrhe, naprimjer zbog praćenja ponašanja radnika.

Načelo transparentnosti
Načelo transparentnosti znači da poslodavac mora biti jasan i otvoren. Naprimjer, ne smije tajno pratiti elektroničku poštu zaposlenika osim u slučajevima gdje to dozvoljava zakon. Izuzeci su ako se ustanove određene kriminalne aktivnosti (pa treba pribaviti dokaze, uz poštivanje zakonskih i proceduralnih pravila) ili u slučajevima kad državni zakon, pod uvjetom da su ispunjene potrebne zaštitne mjere, ovlasti poslodavca da otkrije nepravilnosti na radnom mjestu.

Taj princip znači da poslodavac mora sa svojim zaposlenicima voditi lako dostupnu, jasnu i točnu politiku u vezi e-maila i Internet praćenja. Zaposlenici moraju dobiti potpune informacije o tome koje posebne okolnosti opravdavaju iznimne mjere, širinu i opseg takvog praćenja. Elementi te informacije bi trebali biti:

1. E-mail-Internet politika unutar poduzeća koja jasno navodi mjeru u kojoj sredstva komunikacije u vlasništvu poduzeća mogu biti korištena za osobnu (privatnu) komunikaciju zaposlenika - npr. ograničenje vremena i trajanja korištenja.

2. Razlozi i svrha zbog čega se nadzor provodi. Tamo gdje poslodavac dozvoljava korištenje komunikacijskih sredstava u izričito privatne svrhe, takva privatna komunikacija može biti podvrgnuta nadzoru pod vrlo ograničenim okolnostima, npr. kako bi se osigurala sigurnost informacijskih sustava (provjera virusa).

3. Pojedinosti o poduzetim nadzornim mjerama, odnosno tko, što, kako i kada.

4. Pojedinosti o postupcima provođenja disciplinskih postupaka, uz navod kako i kada će zaposlenici biti obaviješteni o povredi unutrašnje politike te im omogućiti da odgovore na svaku takvu tvrdnju protiv njih.

Konačno, načelo transparentnosti obvezuje poslodavce da omoguće zaposlenicima suštinski nesmetan pristup svojim osobnim podacima kako bi se osigurala njihova vjerodostojnost i, ako je potrebno, da se isprave eventualne netočnosti.

Načelo zakonitosti
Načelo zakonitosti znači da se svaka obrada osobnih podataka mora obaviti na pravedan i zakonit način. Za to načelo posebno je važan član 7 (f) Direktive 95/46/EC jer dozvoljava obradu podataka o uposlenicima ako je nužna za zaštitu zakonitih prava i interesa poslodavca, ako nije u suprotnosti s pravom nositelja podataka da zaštiti vlastiti privatni i osobni život.

To može biti legitimno kad poslodavac želi zaštititi svoje poslovanje od značajnih prijetnji, kao što je sprečavanje prijenosa povjerljivih informacija konkurenciji.

Administrator sustava i svatko tko ima pristup osobnim podacima o radnicima, tijekom praćenja treba biti pod strogom obvezom profesionalne tajne

Načelo proporcionalnosti
Načelo proporcionalnosti zahtijeva da osobni podaci - pa i oni koji su uključeni u praćenje - moraju biti adekvatni, relevantni i ne prekomjerni s obzirom na postizanje navedene svrhe obrade. Pritom politika poduzeća treba biti izrađena po mjeri, ovisno o vrsti i stupnju rizika s kojima se određeno poduzeće suočava. Načelo proporcionalnosti isključuje pravilo kontinuiranog praćenja individualnih e-mailova i pristupa Internetu svih djelatnika, osim tamo gdje je to nužno zbog sigurnosti sustava. U situacijama gdje se identificirani cilj može postići na manje intruzivniji način poslodavac mora uzeti u obzir tu opciju (naprimjer, trebao bi izbjegavati sustave koji prate automatski i kontinuirano).

Praćenje e-pošte treba ograničiti na podatke o prometu i vremenu komunikacije, a ne na sadržaj, ako je to dovoljno da se ublaži zabrinutost poslodavca. Ako je pristup sadržaju elektroničke pošte nužan, treba voditi računa o privatnosti sudionika komunikacije izvan organizacije. U tom slučaju poslodavac treba obavijestiti sudionike komunikacije izvan svog poduzeća da se prati elektronička pošta. Može naprimjer formulirati upozorenje da se sustav prati koje se dodaje svim izlaznim porukama.

Načelo točnosti i zadržavanja
Načelo točnosti i zadržavanja zahtijeva da svi podaci koje je poslodavac legitimno pohranio (nakon razmatranja svih ostalih prethodno navedenih načela), a sastoje se od podataka iz e-pošte ili se odnose na e-poštu zaposlenika ili na njihov pristup Internetu, moraju biti točni i zadržani u vremenskom razdoblju nužnom za ispunjenje svrhe u koju su prikupljeni. Poslodavci bi trebali odrediti razdoblje zadržavanja e-mailova u središnjim poslužiteljima na temelju poslovnih potreba.

Načelo sigurnosti
Načelo sigurnosti obvezuje poslodavca da implementira odgovarajuće tehničke i organizacijske mjere kojima će zaštititi osobne podatke koji su predmet obrade kako bi se u svako doba osigurao njihov integritet, povjerljivost i dostupnost. Mjere se formiraju ovisno o postojećem riziku, mogućim posljedicama po nositelja podataka, osjetljivosti osobnih podataka, o trenutnom stanju i konteksta u kojem se obrađuju, a gdje je potrebno i o obvezama sadržanim u važećem državnom zakonodavstvu.

Uloga administratora sustava

EU radna skupina The Article 29 Working Party upozorava na ulogu administratora sustava, djelatnika koji ima važnu odgovornost za zaštitu podataka. Od velike je važnosti da administrator i svatko tko ima pristup osobnim podacima o radnicima tijekom praćenja, bude pod strogom obvezom profesionalne tajne s obzirom na to da ima pristup povjerljivim informacijama.

Praksa Europskog suda za ljudska prava
Zbog povrede prava na zaštitu privatnosti koje se jamči članom 8. europske konvencije o ljudskim pravima, Europski sud za ljudska prava donio je brojne presude protiv država potpisnica. U tim presudama Sud navodi da se: „koncept privatnog života proteže na sve aspekte osobnog identiteta, kao što su ime ili slika neke osobe”. Dalje, po mišljenju Suda privatni život uključuje fizički i psihički integritet. Namjera jamstva iz člana 8. konvencije jest osigurati razvoj osobnosti svakog pojedinca u odnosu s drugim ljudskim bićima bez vanjskog utjecaja. S toga postoji interakcija pojedinca s drugima, čak i u javnom kontekstu, koja potpada pod pojam privatnog života.
Najviše presuda tiče se zloupotrebe podataka do kojih su policijski organi došli nezakonitim snimanjem-prisluškivanjem, pretresom ili čitanjem prepiske osumnjičenih osoba i njihovih odvjetnika. Sudska praksa Europskog suda za ljudska prava, tumačeći član 8. europske konvencije o ljudskim pravima, zahtijeva zakonsku shemu koja će pružiti jamstva protiv samovoljnog korištenja istražnog nadzora i tehničkog snimanja telekomunikacija, posebno u pogledu pitanja: čiji se telefoni i druga komunikacijska sredstva mogu prisluškivati, zbog kojih krivičnih djela i koliko dugo, kako će se koristiti rezultati dobiveni tm mjerama, kakva su prava obrane da se upozna s tim rezultatima, te što se zbiva s prikupljenim materijalima nakon završetka krivičnog postupka.
Tako je npr. u predmetu Malone protiv Velike Britanije (1984., Serija A br. 82) Europski sud za ljudska prava zaključio da zakon mora vrlo precizno odrediti opseg i način prisluškivanja telefonskih razgovora, poštujući pritom legitimnost cilja koji se mjerama želi postići, tako da je pojedincu zajamčena odgovarajuća zaštita od samovolje.
U predmetu Copland protiv Ujedinjenog Kraljevstva Sud je iznio mišljenje da prikupljanje i pohranjivanje osobnih informacija koje se odnose na telefonske pozive, e-poštu i pristup Internetu njihove zaposlenice bez njenog znanja predstavlja miješanje u njeno pravo na poštivanje privatnog života i komuniciranja u smislu člana 8. europske konvencije o ljudskim pravima. No, Sud ne isključuje da se nadzor telefona, e-maila ili Interneta zaposlenika na radnom mjestu može smatrati „potrebnim u demokratskom društvu” u određenim situacijama poštujući pritom legitimnost cilja.